Pubblicata nella Gazzetta ufficiale dell’Unione europea la Direttiva (UE) 2022/2555 sull’adozione di misure volte a garantire un elevato livello di cybersecurity nell’Unione (c.d. Direttiva NIS2).
Il termine per il recepimento nazionale della Direttiva NIS 2 è stato fissato al 18 ottobre 2024.
La Direttiva NIS 2, con effetto sempre dal 18 ottobre 2024, va a modificare il Regolamento (UE) n. 910/2014 e la direttiva (UE) 2018/1972, ed a abrogare la direttiva (UE) 2016/1148 (Direttiva NIS).
Nel modificare il regime della Direttiva NIS, la Direttiva (UE) 2022/2555 tiene conto delle divergenze rilevate in sede di attuazione nazionale, che hanno portato ad una frammentazione del mercato interno con effetti pregiudizievoli sul suo funzionamento e ripercussioni negative sulla fornitura transfrontaliera di servizi e sul livello di ciberresilienza.
La Direttiva NIS2 vuole quindi eliminare tali divergenze, definendo norme minime comuni, meccanismi per una cooperazione efficace tra le autorità competenti, aggiornando l’elenco dei settori e delle attività soggetti agli obblighi di cyber sicurezza.
Tra le principali novità, l’estensione del campo di applicazione: la Direttiva NIS2, infatti, andrà ad applicarsi anche ad una serie di settori e società precedentemente non soggette alla Direttiva NIS.
Nel solco della Direttiva NIS, la Direttiva NIS2 mira poi a chiarire e rafforzare gli obblighi per le imprese connessi all’implementazione di misure adeguate e proporzionate per la gestione di rischi informatici, riducendo l’impatto di eventuali incidenti di sicurezza ed aumentando le difese contro potenziali attacchi informatici.
Nel dettaglio, quindi, la Direttiva NIS 2 definisce:
- obblighi per gli Stati nazionali di adottare strategie sulla cyber sicurezza, istituendo autorità nazionali competenti, autorità di gestione delle crisi informatiche, punti di contatto unici in materia di sicurezza (punti di contatto unici) e team di risposta agli incidenti di sicurezza informatica (CSIRT);
- misure sulla gestione dei rischi di cybersecurity e obblighi di segnalazione;
- obblighi di condivisione delle informazioni sulla cybersecurity;
- obblighi di vigilanza.